Microsoft lansează actualizarea în afara benzii pentru biblioteca Codecs Windows și Visual Studio Code pentru a remedia vulnerabilitățile grave

Microsoft a lansat două remedieri out-of-band pentru biblioteca Windows Codecs și Visual Studio Code pentru a aborda vulnerabilitățile de execuție a codului de la distanță în ambele platforme.

Bug-ul Windows a implicat Biblioteca HEVC Windows Codecs și afectează toate versiunile de Windows.

Detaliat în CVE-2020-17022, Microsoft spune că atacatorii pot crea imagini rău intenționate care, atunci când sunt procesate de o aplicație care rulează pe Windows, îi pot permite atacatorului să execute cod pe un sistem de operare Windows nepatchat.

Doar cei care au instalat codecurile media opționale HEVC sau „HEVC de la producătorul dispozitivului” din Microsoft Store sunt afectați, iar Microsoft distribuie patch-ul direct prin Microsoft Store.

Pentru a vedea dacă aveți instalată o versiune vulnerabilă, accesați Setări, Aplicații și caracteristici și selectați HEVC, Opțiuni avansate. Versiunile anterioare 1.0.32762.0, 1.0.32763.0 sunt nesigure.

Cealaltă vulnerabilitate afectează Cod Visual Studio.

Urmărit sub CVE-2020-17023, Microsoft spune că atacatorii pot crea fișiere package.json dăunătoare care, atunci când sunt încărcate în Visual Studio Code, pot executa coduri dăunătoare. Dacă utilizatorii rulează ca administratori, codul va fi executat cu aceste privilegii.

Este disponibilă o versiune actualizată a Visual Studio Code și Microsoft recomandă actualizarea cât mai curând posibil.

de ZDNet